Discussion :

[modulo2]

Bonjour,

il y a un problème de sécurité dans le tutoriel « Permettre l'upload d'un fichier » (http://mkdevs.com/tutoriaux.html#upload).

L'identifiant est transmis en champ hidden lors de la soumission du formulaire, ce qui permet à un utilisateur de changer l'avatar d'un autre utilisateur.

[imikado]

Oui, exact, le tutoriel contient une faille, j'ecris en ce moment un tutoriel pour developpez sur la création d'un site de microblogging et ce problème est corrigé: on modifie les informations du account de l'utilisateur connecté (pas de récupération d'id en paramètre

mais je vais corriger sur le site

[imikado]

Corrigé, merci

J'ai ajouté dans la méthode before()

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
//recuperation de l'id du compte de l'utilisateur connecté
$this->id=_root::getAuth()->getAccount()->id;

et lors de l'enregistrement

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$oAccount=model_Account::getInstance()->findById( $this->id );